L’obiettivo principale di questo articolo è quello di celebrare il Cybersecurity Awareness Month’s Un-birthday che, come IMQ Intuity, celebriamo invece a novembre.
Il motivo è semplice: #SecurityAwareness è un tema molto caldo ogni giorno, quindi la sua “celebrazione” non può essere ridotta a un solo mese all’anno.
In occasione del Cybersecurity Awareness Month, abbiamo pensato di condividere con voi una guida pratica su #CredentialsTheft.
PROTEGGITI AL FURTO DI CREDENZIALI
Il furto di credenziali è la causa di molti attacchi informatici e il numero di incidenti è in
crescita costante. Infatti, la cosa più facile da fare per un attaccante in termini di sforzo è
utilizzare tecniche di ingegneria sociale o sfruttare vulnerabilità tecnologiche.
Sfruttare solo le vulnerabilità tecnologiche significherebbe sottovalutare l’aspetto
umano, le vulnerabilità sociologiche e psicologiche dell’utente, queste ultime
fondamentali per un attaccante in termini di facilità di attuazione e percentuale di
successo. Così, il modo più semplice per attaccare è quello di rubare le credenziali e le due
modalità comuni sono:
- Compromissione delle macchine
- Impersonation
FURTO DI CREDENZIALI
COMPROMISSIONE DELLE MACCHINE
Partendo dalla compromissione di un singolo sistema, l’attaccante cattura le credenziali del sistema compromesso e le riutilizza per accedere a tutti i sistemi in cui tali credenziali sono valide (Movimento Laterale). Quindi ruba credenziali più privilegiate fino a ottenere il pieno controllo dell’infrastruttura (Privilege Escalation).
Queste attività di solito non vengono rilevate a causa delle difficoltà di rilevamento, in quanto sono tipicamente identificate come normale traffico di autenticazione.
IMPERSONATION
L’impersonation, o furto di identità, significa di fatti impersonificazione totale dell’identità, l’uso improprio dei dati relativi all’identità di un’altra persona. In altre parole, l’uso dell’identità di un’altra società o persona, dietro la quale l’hacker si nasconde o opera con un’identità fittizia.
L’aggressore utilizza Phishing (via e-mail), Smishing (via SMS) o Vishing (via telefono) contro la vittima fingendo di essere un fornitore, un cliente o un collaboratore esterno.
L’obiettivo è quello di spingere l’utente a entrare all’interno di un portale aziendale o software con credenziali aziendali. A questo punto, il criminale può muoversi liberamente e, come accade nel caso sopra descritto, lascia il posto ad un movimento laterale fino a raggiungere il pieno controllo di
il sistema.
CURIOSITA’
Un ragazzo di 26 anni conosciuto come raccoonstealer, avendo preso parte all’operazione Raccoon Stealer Malware-as-service (Maas), è stato arrestato nel marzo 2022. È stato arrestato dalle autorità olandesi (insieme all’FBI e alle autorità italiane), per aver attaccato l’infrastruttura del Infostealer Raccoon e mandato off-line l’esistente versione del malware. Gli agenti dell’FBI hanno identificato più di 50.000.000 credenziali e forme di identificazione (indirizzi e-mail, conti bancari, indirizzi di criptovalute, numeri di carta di credito, ecc.). Le credenziali includevano oltre 4.000.000 indirizzi email.
Dopo il suo arresto, il Raccoon Stealer Group ha cessato le sue operazioni. Tuttavia, nel mese di giugno, il gruppo do criminali ha rilasciato una nuova famiglia di malware utilizzando il linguaggio C/ C ++ rubando:
- Password e cookie del browser
- Dati di riempimento automatico
- Carte di credito
- Portafogli in criptovaluta
- Screenshot
“Perché i miei dati dovrebbero essere interessanti per l’attaccante?”
Per rispondere a questa domanda, ecco alcuni esempi che provengono direttamente dalla nostra
esperienza sul campo in termini di Business Attack Simulation su medie e grandi aziende:
- Molti dipendenti salvano un elenco di account personali o credenziali aziendali in Excel o file .txt sul proprio computer aziendale, rinominandoli come “Credenziali” o “Password“.
- Molti dipendenti condividono il proprio account personale o credenziali aziendali via e-mail o tramite software di messaggistica istantanea, come Teams o WhatsApp.
- Molti dipendenti riutilizzano le stesse credenziali per tutti gli account e raramente cambiano le password.
- Molte aziende ancora utilizzano sistemi di creazione di badge obsoleti o manuali, come ad esempio la memorizzazione dei nomi dei dipendenti e relativi dati su file .txt, salvati sul desktop del computer, senza alcuna password.
La maggior parte delle combinazioni di password prevedibili in base alla nostra esperienza di simulazione Red Team
Un utente malintenzionato che riesce a raggiungere il database aziendale, può essere in grado di recuperare le password in chiaro con due possibilità:
- L’attaccante, attraverso gli Attacchi a Dizionario, cerca di indovinare le password attraverso le parole più comunemente usate.
- Se non riesce a trovare la giusta stringa di parole, procede con un attacco di Brut Force, usando tutte le combinazioni di lettere.
La schermata sotto mostra le combinazioni di password più prevedibili secondo la nostra esperienza con le aziende, tuttavia come si può evincere, riflettono le password più comunemente utilizzate anche al di fuori del contesto business.
- Azienda+ anno in corso
- Stagione/mese + anno in corso
- Caratteri speciali vs lettere
- Uso di abcd e 1234
- Dipartimento + anno in corso
- Mese/anno di nascita dell’utente
Leggi la nostra guida, stampala, mettila sulla scrivania e condividila a scopo informativo:
